【51CTO.com 綜合消息】網絡改造方案

  

安全特性及措施

分級配置用戶口令

將網絡交換機的登錄口令分為4級：參觀級、監控級、配置級、管理級，不同的級別所能做的操作都不相同。

參觀級：網絡診斷工具命令（ping、tracert）、從本設備出發訪問外部設備的命令（包括：Telnet客戶端、SSH客戶端、RLOGIN）等，該級別命令不允許進行配置文件保存的操作。

監控級：用于系統維護、業務故障診斷等，包括display、debugging命令，該級別命令不允許進行配置文件保存的操作。

配置級：業務配置命令，包括路由、各個網絡層次的命令，這些用于向用戶提供直接網絡服務。

管理級：關系到系統基本運行，系統支撐模塊的命令，這些命令對業務提供支撐作用，包括文件系統、FTP、TFTP、Xmodem下載、配置文件切換命令、電源控制命令、備板控制命令、用戶管理命令、級別設置命令、系統內部參數設置命令（非協議規定、非RFC規定）等。

建議分級設置登錄口令，以便于對于不同的維護人員提供不同的口令。

對任何方式登陸的用戶都要認證，也可采用SSH

建議對于各種登錄設備的方式（通過TELNET、CONSOLE口、AUX口）都進行認證。

在默認的情況下，CONSOLE口不進行認證，在使用時建議對于CONSOLE口登錄配置上認證。

對于安全級別一般的設備，建議認證方式采用本地認證，認證的時候要求對用戶名和密碼都進行認證，配置密碼的時候要采用密文方式。用戶名和密碼要求足夠的強壯。

對于安全級別比較高的設備，建議采用AAA方式到RADIUS去認證。 

對網絡上已知病毒使用的端口進行過濾

現在網絡上的很多病毒發作時，對網絡上的主機進行掃描搜索，該攻擊雖然不是針對設備本身，但是在攻擊過程中會涉及到發ARP探詢主機位置等操作，某些時候對于網絡設備的資源消耗十分大，同時會占用大量的帶寬。對于這些常見的病毒，通過分析它們的工作方式，可知道他們所使用的端口號。

為了避免這些病毒對于設備運行的影響，建議在設備上配置ACL，對已知的病毒所使用的TCP、UDP端口號進行過濾。一方面保證了設備資源不被病毒消耗，另一方面阻止了病毒的傳播，保護了網絡中的主機設備。

關閉危險的服務

如果在不使用以下服務的時候，建議將這些服務關閉，防止那些通過這些服務的攻擊對設備的影響。

1、禁止HDP(Huawei Discovery Protocol)。

2、禁止其他的TCP、UDP Small服務。路由器提供一些基于TCP和UDP協議的小服務如：echo、chargen和discard。這些小服務很少被使用，而且容易被攻擊者利用來越過包過濾機制。

3、禁止Finger、NTP服務。Finger服務可能被攻擊者利用查找用戶和口令攻擊。NTP不是十分危險的，但是如果沒有一個很好的認證，則會影響路由器正確時間，導致日志和其他任務出錯。

4、建議禁止HTTP服務。路由器操作系統支持Http協議進行遠端配置和監視，而針對Http的認證就相當于在網絡上發送明文且對于Http沒有有效的基于挑戰或一次性的口令保護，這使得用Http進行管理相當危險。

5、禁止BOOTp服務。

6、禁止IP Source Routing。

7、明確的禁止IP Directed Broadcast。

8、禁止IP Classless。

9、禁止ICMP協議的IP Unreachables,Redirects,Mask－Replies。

10、如果沒必要則禁止WINS和DNS服務。

11、禁止從網絡啟動和自動從網絡下載初始配置文件。

12、禁止FTP服務，網絡上存在大量的FTP服務，使用不同的用戶名和密碼進行嘗試登錄設備，一旦成功登錄，就可以對設備的文件系統操作，十分危險。

使用SNMP協議的建議

在不使用網管的時候，建議關閉SNMP協議。

出于SNMPv1/v2協議自身不安全性的考慮，建議盡量使用SNMPv3，除非網管不支持SNMPv3，只能用SNMPv1/v2。

在配置SNMPv3時，最好既鑒別又加密，以更有效地加強安全。鑒別協議可通過MD5或SHA，加密協議可通過DES。

在SNMP服務中，提供了ACL過濾機制，該機制適用于SNMPv1/v2/v3三個版本，建議通過訪問控制列表來限制SNMP的客戶端。

SNMP服務還提供了視圖控制，可用于SNMPv1/v2/v3。建議使用視圖來限制用戶的訪問權限。

在配置SNMPv1/v2的community名字時，建議避免使用public、private這樣公用的名字。并且在配置community時，將RO和RW的community分開，不要配置成相同的名字。如果不需要RW的權限，則建議不要配置RW的community。

關閉不使用的物理端口

為了防止誤接設備而引起網絡的異常，建議對于不使用的物理端口在配置上將其關閉，防止誤接。

保持系統日志打開

網絡設備的系統日志會記錄設備的運行信息，維護人員做了哪些操作，執行了哪些命令。系統日志建議一直打開，以便于網絡異常的時候，查找相關的記錄。

系統日志缺省向console口、日志緩沖區輸出。

系統日志可以向Telnet終端和啞終端（monitor）、日志主機（loghost）輸出，但需要配置。

注意檢查設備的系統時間是否正確

為了保證日志時間的準確性，建議定期（每月一次）檢查設備的系統時間是否準確，和實際時間誤差不超過1分鐘。

在設備上開啟URPF功能

URPF通過獲取報文的源地址和入接口，以源地址為目的地址，在轉發表中查找源地址對應的接口是否與入接口匹配，如果不匹配，認為源地址是偽裝的，丟棄該報文。通過這種方式，URPF就能有效地防范網絡中通過修改源地址而進行的惡意攻擊行為的發生。通過URPF，可以防止基于源地址欺騙的網絡攻擊行為。

防攻擊的措施

這類防范措施請根據實際網絡和遭受攻擊的情況進行。配置會對網絡造成一定影響，請慎重實施。

目前，網絡上最大也是最難解決的攻擊是DOS攻擊。大多數的Dos攻擊都是通過發送大量的無用包，從而占用路由器和帶寬的資源，導致網絡和設備過載，這種攻擊也稱為”洪泛攻擊”。對于這種攻擊的防范首先要明確瓶頸在哪里。

ICMP協議的安全配置：

ICMP協議很多具有一些安全隱患，因此在骨干網絡上，如果沒有特別需要建議禁止一些ICMP協議報文：ECHO、Redirect、Mask request。同時禁止TraceRoute命令的探測。對于流出的ICMP流，可以允許ECHO、Parameter Problem、Packet too big。還有TraceRoute命令的使用。這些的措施通過ACL功能都可以實現。

DDOS攻擊的防范：

DDoS(分布式拒絕服務)，它的英文全稱為Distributed Denial of Service，它是一種基于DoS的特殊形式的拒絕服務攻擊，是一種分布、協作的大規模攻擊方式，主要瞄準比較大的站點，比如商業公司，搜索引擎和政府部門的站點。

該攻擊需要在發現問題后接入層面實施，先探測到DDOS攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數據流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現。

Smurf攻擊的防范：

Smurf攻擊是向一個子網的廣播地址發一個帶有特定請求（如ICMP回應請求）的包，并且將源地址偽裝成想要攻擊的主機地址。子網上所有主機都回應廣播包請求而向被攻擊主機發包，使該主機受到攻擊。

該攻擊需要在發現問題后接入層面實施，先探測到Smurf攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數據流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現。

TCP SYN攻擊的防范：

利用TCP連接機制的攻擊。Synflood: 該攻擊以多個隨機的源主機地址向目的主機發送SYN包，而在收到目的主機的SYN ACK后并不回應，這樣，目的主機就為這些源主機建立了大量的連接隊列，而且由于沒有收到ACK一直維護著這些隊列，造成了資源的大量消耗而不能向正常請求提供服務。

該攻擊需要在發現問題后接入層面實施，先探測到TCP SYN攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數據流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現。

LAND.C攻擊的防范：

攻擊者將一個包的源地址和目的地址都設置為目標主機的地址，然后將該包通過IP欺騙的方式發送給被攻擊主機，這種包可以造成被攻擊主機因試圖與自己建立連接而陷入死循環，從而很大程度地降低了系統性能。

該攻擊需要在發現問題后接入層面實施，先探測到LAND.C攻擊源和攻擊使用的端口（這個功能可以通過端口鏡像，將數據流鏡像到專門的設備上進行分析，以獲取攻擊源和攻擊使用的端口），然后對攻擊源的通信進行限制，這類防范手段也可以通過ACL來實現。